Windows Autopilot

O Endpoint Manager 2021.1 SU1 apresenta uma experiência nova, simplificada e mais poderosa do Windows Autopilot. O Windows Autopilot ajuda você a configurar novos dispositivos ou reatribuir os existentes. O Autopilot não é uma ferramenta de provisionamento completa. Ele espera que o Windows 10/11 já esteja instalado e que a configuração da experiência imediata (OOBE) do Windows esteja pronta para ser executada na próxima vez que o dispositivo for ligado.

Quando o Windows Autopilot provisiona um dispositivo, há duas fases principais:

  1. Aplicar automaticamente as opções de configuração selecionadas que normalmente seriam mostradas ao usuário, como escolha de região ou de layout do teclado.

  2. Inscrever o dispositivo no Windows MDM, instalar os aplicativos configurados, aplicar políticas e ingressar o dispositivo no Active Directory.

Após concluir as etapas em Pré-requisitos e instalação, você pode começar a usar o suporte ao Autopilot do Endpoint Manager. Funciona assim:

  1. Crie grupos do Azure AD que contenham os dispositivos os a serem segmentados na implantação do Autopilot. Se quiser segmentar todos os dispositivos para o Autopilot, pule esta etapa.

  2. Crie um perfil de implantação que defina as configurações para tipo de ingresso no domínio, como o dispositivo será provisionado, a experiência do usuário final e a atribuição de grupos no AD.

  3. Se quiser implantar aplicativos como parte de um perfil de implantação, crie uma definição de aplicativo.

  4. Importe dispositivos obtendo um arquivo .CSV com hashes de hardware dos dispositivos ou fazendo com que um parceiro OEM insira diretamente os hashes dos dispositivos no locatário do Azure AD da sua organização. Adicione os dispositivos importados a um grupo de dispositivos do Azure AD que tenha um perfil de implantação.

  5. Sincronize suas alterações com o Azure AD. Quando os dispositivos são sincronizados com o AD, eles estão prontos para implantação.

Antes de usar o suporte a Autopilot do Endpoint Manager, sua organização precisa de uma licença do Azure Active Directory P1 ou superior, e você precisa concluir as etapas de configuração descritas aqui: Introdução ao gerenciamento de dispositivos Windows.

No Azure, certifique-se de que o MDM do Intune não esteja habilitado. Você pode verificar isso checando no Azure Active Directory, em Mobilidade (MDM e MAM), e clicando em Microsoft Intune. O escopo do usuário do MDM e o escopo de usuário do MAM devem ser definidos como Nenhum.

A implementação do Autopilot do Endpoint Manager requer uma licença do Microsoft Intune para implantação de aplicativos. Observe que, devido à maneira como o Autopilot do Endpoint Manager se integra à Microsoft, você não deve usar a interface de usuário do Intune para modificar as configurações dele.

Depois de concluir a configuração do Azure AD, você precisa fornecer suas credenciais de locatário do Microsoft Azure, consistindo em ID do diretório (locatário), ID do aplicativo (cliente) e Segredo do cliente.

Se você for trabalhar com um OEM que esteja pré-provisionando (luva branca) novos dispositivos para você, também precisará fornecer o ID do aplicativo MDM. No Azure, você deve usar um domínio verificado no URI de ID do Aplicativo, e esse domínio só pode pertencer a um locatário do Azure.

Para encontrar seu ID de aplicativo MDM
  1. Em um navegador, faça login no Portal do Azure AD.
  2. Use o menu expansível no lado esquerdo da tela para navegar até o Azure Active Directory.
  3. Selecione Mobilidade (MDM e MAM) no menu à esquerda.
  4. Clique em seu aplicativo Ivanti MDM.
  5. Clique em Configurações do aplicativo MDM local.
  6. O campo ID do aplicativo (cliente) contém o ID do aplicativo MDM.

Dispositivos que precisam se conectar a um Active Directory local e a um Active Directory do Azure exigem configuração de ingresso híbrido. Nesse caso, você também precisa fornecer as credenciais de uma conta Active Directory local que tenha permissões para criar uma conta de computador na UO (unidade organizacional) designada do perfil de implantação.

Para inserir informações de configuração do Azure AD

  1. Clique em Ferramentas > Gerenciamento de Dispositivos Modernos > Windows Autopilot.

  2. Clique em Configurações de credencial.

  3. Na página Configurações de Credencial, insira suas credenciais. Use o botão Verificar credenciais para verificar se as credenciais funcionam e se as permissões estão corretas.

Os perfis de provisionamento do Autopilot são atribuídos a grupos do Azure AD. Como alternativa, se você planeja ter um único perfil de provisionamento para todos os dispositivos, pode escolher Todos os dispositivos como destino e não precisará configurar grupos.

A página Grupos mostra os grupos disponíveis no Azure, e você pode adicionar ou remover grupos nessa página.

Se estiver criando um grupo para ser usado com um perfil de implantação, deverá utilizar o tipo de grupo Segurança. Os membros do grupo devem ter um hash de hardware do dispositivo no Azure para receber o perfil de implantação.

Se você estiver usando um único perfil de implantação, não precisará criar ou configurar grupos. Em vez disso, você pode selecionar a opção Todos os dispositivos em Criar perfil de implantação > Atribuição do grupo.

A lista de grupos mostra até 100 grupos. Se houver mais de 100 grupos a ser mostrados, clique em Carregar mais na parte inferior. Isso adiciona os próximos 100 grupos à lista. Use a caixa Localizar para filtrar os grupos visíveis. Se quiser procurar um grupo específico, digite o nome dele e clique em Pesquisar todos.

Para criar um grupo do Azure AD

  1. Na janela Autopilot, clique em Grupos.

  2. Clique em Criar. Para mais informações sobre as essas opções, consulte Sobre a página Criar grupo do Azure AD.

  3. Na página Criar grupo do Azure AD, insira o Nome do grupo AD que você deseja. Esse campo é obrigatório.

  4. Digite a Descrição do grupo.

  5. Insira o Apelido de e-mail.

  6. Selecione um Tipo de participação no grupo:

  • Use Atribuído se quiser que a associação e as permissões sejam atribuídas individualmente a cada usuário.

  • Use Dispositivo dinâmico se desejar que a associação seja atribuída automaticamente com base nas regras do dispositivo. Essa opção abre o Construtor de regras de participação dinâmica.

  • Use Usuário dinâmico se desejar que a associação seja atribuída automaticamente com base nas regras do usuário. Essa opção abre o Construtor de regras de participação dinâmica.

  1. Se você escolher algum tipo de participação dinâmica para o grupo, use o Construtor de regras de participação dinâmica.

  2. Clique em Salvar.

Os perfis de implantação são modelos de provisionamento que definem configurações para:

  • Tipo de ingresso no domínio

  • Processo de provisionamento de dispositivos

  • Experiência do usuário

  • Atribuição do grupo

Para criar um perfil de implantação

  1. Na janela Autopilot, clique em Perfis de implantação.

  2. Clique em Criar.

  3. Na páginaBásico, insira o Nome e a Descrição do perfil. Clique em Avançar.

  4. Na página Experiência imediata, configure o tipo de implantação, o tipo de conta e as preferências de idioma/região. Clique em Avançar.

  5. Na página Status do usuário final, configure o comportamento da página de status e o tratamento de erros. Clique em Avançar.

  6. Na página Atribuição do grupo, selecione se o perfil deve ser atribuído a Nenhum dispositivo, Todos os dispositivos ou Grupos selecionados. Clique em Avançar.

  7. Na página Visão geral, revise suas seleções e clique em Criar perfil.

Há várias maneiras de importar as informações de hash do hardware do dispositivo para o Autopilot do Endpoint Manager.

  • Use um script do PowerShell para extrair informações do dispositivo e colocá-las no formato .CSV. Para ver um exemplo, consulte o link do script nesta página da documentação da Microsoft.

  • Extraia manualmente as informações do dispositivo, conforme descrito aqui.

  • Um parceiro OEM fornece a você o arquivo .CSV dos dispositivos adquiridos.

  • Um parceiro OEM insere diretamente os hashes de dispositivo no locatário do Azure AD da sua organização.

Na janela Autopilot, clique em Dispositivos.

Quaisquer alterações feitas na associação ao grupo não terão efeito até que você clique no botão Sincronizar na página Dispositivos. Isso pode levar 15 minutos ou mais por dispositivo, dependendo da rapidez com que o Azure conseguir processar as alterações. Clique no botão Atualizar para atualizar a lista a partir do Azure.

Clique em um dispositivo na lista para ver detalhes e uma lista com os grupos dos quais o dispositivo é membro. A opção Mostrar dispositivos do Autopilot exibe os dispositivos importados do Autopilot. A opção Mostrar dispositivos do Azure exibe os dispositivos que você veria na exibição Dispositivos do Azure.

Na versão 2022 SU3 e posteriores, quando você clica em um dispositivo na lista, pode editar a etiqueta de grupo e o nome de exibição do dispositivo no Azure. Se você editar um dispositivo, o dispositivo será exibido em texto verde até que suas alterações sejam sincronizadas com o Azure.

Você pode instalar aplicativos como parte de um perfil de implantação. Ao atribuir aplicativos a um dispositivo, o perfil de implantação deverá ser atribuído a um grupo do Azure Active Directory ao qual o dispositivo pertença. Os aplicativos adicionados por você são carregados no Armazenamento de Blob do Azure.

O arquivo do aplicativo deve estar na pasta ManagementSuite\landesk\files no servidor núcleo. Os formatos suportados são .exe, .msi e .intunewin. O processo de upload também requer que a ferramenta de preparação de conteúdo Win32 da Microsoft, o IntuneWinAppUtil.exe, esteja na mesma pasta. O upload do arquivo acontece quando você salva suas alterações no final do assistente.

Para mais informações sobre onde baixar a ferramenta de preparação de conteúdo, consulte Sobre a página Aplicativos > Básico.

Quando um dispositivo do Autopilot está sendo provisionado, ele verifica quais aplicativos precisará instalar. Se as regras de requisitos forem atendidas, os aplicativos serão baixados do armazenamento de blob do Azure, descriptografados e instalados, um de cada vez.

Para instalar um aplicativo como parte de um perfil de implantação

  1. Na janela Autopilot, clique em Aplicativos.

  2. Clique em Criar. Se estiver usando a versão 2022 SU2 ou posterior, clique no botão Criar aplicativo genérico. Se quiser instalar um aplicativo do Microsoft 365, consulte Instalar aplicativos do Microsoft 365 (2022 SU2).

  3. Na página Básico, insira o Nome e a Descrição.

  4. Na página Comportamento de instalação, clique em Selecionar arquivo de pacote e procure o arquivo desejado.

  5. Personalize o Comando de instalação se necessário e selecione se o aplicativo deve ser instalado na conta do sistema ou na conta do usuário conectado.

  6. Selecione Forçar reinicialização após a instalação se o aplicativo exigir. Clique em Avançar.

  7. Na página Requisitos, você pode adicionar regras para determinar se o aplicativo deverá ser instalado. Esses parâmetros são opcionais. Clique em Avançar.

  8. Na página Regras de detecção, você pode adicionar regras para ajudar a determinar se o aplicativo foi instalado corretamente. Esses parâmetros são opcionais. Clique em Avançar.

  9. Na página Atribuição do grupo, selecione quais grupos do Azure devem receber o aplicativo. Clique em Avançar.

  10. Na página Visão geral, revise a configuração e clique em Criar aplicativo quando estiver pronto. Monitore o progresso do upload na página principal Aplicativos.

Na janela Autopilot, clique em Status de instalação do aplicativo.

A página de status de instalação do aplicativo mostra as informações sobre o sucesso/falha de instalação do aplicativo em cada dispositivo. Clicar numa instalação dessa lista mostra informações detalhadas que podem ajudar na solução de problemas.

Os aplicativos podem ter regras de detecção como parte da configuração. Essas regras ajudam a identificar se o aplicativo foi instalado com êxito. Se tanto a regra de detecção quanto o código de retorno do instalador do aplicativo indicarem êxito, o estado de instalação do aplicativo será Instalado.

Depois de revisar o status da instalação, você poderá marcar as instalações com as quais estiver satisfeito como Resolvidas. Clique em Aplicar resolvidas para aplicar suas seleções. Isso remove esses aplicativos da exibição de lista padrão. Marcar uma instalação de aplicativo como resolvida ou não resolvida serve apenas para manter a lista organizada, de modo que, se não for do seu interesse, não é necessário fazer isso.

Posteriormente, se mudar de ideia sobre um status de instalação, poderá alterar o filtro Estado de resolução para Não resolvido e desmarcar a seleção na coluna Resolvido.

O pré-provisionamento de um dispositivo permite que a TI, um fabricante de dispositivos ou um revendedor executem o dispositivo por meio da configuração do Windows e de partes da configuração de dispositivos do Autopilot, além de pré-instalar aplicativos, se necessário. Feito isso, o SO é lacrado novamente, e o dispositivo pode ser entregue a um usuário final.

Quando o usuário final ligar o dispositivo e se conectar a uma rede, verá uma interface de configuração do Windows, onde poderá selecionar o layout do teclado e possivelmente o idioma, se o perfil de implantação permitir. Então, assim que fizer login, verá a página de status do usuário final e passará pela fase de provisionamento do usuário.

A duração da fase do usuário depende de haver aplicativos de usuário para instalar e de quanto tempo levará essa instalação. Se nenhum aplicativo for instalado, o processo de configuração pode levar menos de um minuto. Espera-se que a maioria dos aplicativos tenha sido instalada durante o pré-provisionamento, portanto, esse deve ser um processo rápido para o usuário.

O pré-provisionamento requer hardware físico com TPM 2.0. Você também deve ter inserido o ID do aplicativo MDM do Azure conforme descrito em Inscrição no Azure AD.

Consulte esta página para obter informações sobre o fluxo de trabalho de pré-provisionamento do técnico: https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios.